| |
| |||||||
Log-Analyse und Auswertung: Hilfe bei TR/Vundo und TR/Crypt.XPACKWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.08.2008, 23:25
| #6 |
| |  Hilfe bei TR/Vundo und TR/Crypt.XPACK ..mir ist ein fehler unterlaufen. CF heißt nicht CCleaner sondern Combofix  und die logfile hab ich natürlich,hier ist sie : ComboFix 08-08-23.03 - Blackscorpion 2008-08-25 23:53:31.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.603 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Blackscorpion\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Legacy_VIRTUAL_MEMORY_PROTECTOR -------\Legacy_XPROTECTOR -------\Service_NPF -------\Service_Virtual Memory Protector -------\Service_XPROTECTOR ((((((((((((((((((((((( Dateien erstellt von 2008-07-25 bis 2008-08-25 )))))))))))))))))))))))))))))) . 2008-08-25 18:51 . 2008-04-14 07:52 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll 2008-08-25 18:51 . 2008-04-14 07:52 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll 2008-08-25 18:51 . 2008-04-14 07:27 93,184 --------- C:\WINDOWS\system32\msxml6r.dll 2008-08-25 18:51 . 2008-04-14 07:27 93,184 -----c--- C:\WINDOWS\system32\dllcache\msxml6r.dll 2008-08-25 18:45 . 2008-04-13 22:06 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys 2008-08-25 18:45 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys 2008-08-25 18:44 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\005229_.tmp 2008-08-25 18:32 . 2008-08-25 18:32 <DIR> d-------- C:\Programme\CCleaner 2008-08-25 17:12 . 2008-08-25 17:12 <DIR> d-------- C:\Dokumente und Einstellungen\Blackscorpion\Anwendungsdaten\skypePM 2008-08-25 17:12 . 2008-08-25 17:12 48 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-08-25 17:09 . 2008-08-25 17:09 <DIR> d-------- C:\Programme\Skype 2008-08-25 17:09 . 2008-08-25 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-08-25 16:52 . 2008-08-25 16:52 <DIR> d-------- C:\Programme\Secunia 2008-08-25 16:33 . 2008-08-25 16:35 <DIR> d-------- C:\Programme\SPYWAREfighter 2008-08-25 16:33 . 2008-08-25 16:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application 2008-08-25 02:34 . 2008-08-25 02:34 <DIR> d-------- C:\Programme\Trend Micro 2008-08-24 03:26 . 2008-08-24 03:26 <DIR> d-------- C:\VundoFix Backups . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-25 21:59 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS 2008-08-25 21:59 --------- d-----w C:\Programme\WLAN Monitor 2008-08-25 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-08-25 17:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-25 16:57 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd9901.sys 2008-08-25 16:14 --------- d-----w C:\Programme\IrfanView 2008-08-25 16:09 --------- d-----w C:\Programme\Java 2008-08-25 15:52 --------- d-----w C:\Programme\XnView 2008-08-25 15:51 --------- d-----w C:\Programme\Winamp 2008-08-25 15:50 --------- d-----w C:\Dokumente und Einstellungen\Blackscorpion\Anwendungsdaten\Winamp 2008-08-25 15:46 --------- d-----w C:\Programme\QuickTime 2008-08-25 15:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-08-25 15:42 --------- d-----w C:\Dokumente und Einstellungen\Blackscorpion\Anwendungsdaten\Skype 2008-08-25 15:26 --------- d-----w C:\Dokumente und Einstellungen\Blackscorpion\Anwendungsdaten\Shareaza 2008-08-25 15:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-08-24 01:02 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-08-18 21:21 --------- d-----w C:\Programme\PokerStars 2008-08-18 20:56 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-18 20:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared 2008-08-18 20:49 --------- d-----w C:\Programme\Online TV Player 2008-08-18 20:46 --------- d-----w C:\Programme\WinXMedia 2008-08-18 20:45 --------- d-----w C:\Programme\Pegasys Inc 2008-08-18 20:45 --------- d-----w C:\Programme\Macrogaming 2008-08-18 20:43 --------- d-----w C:\Programme\InterVideo 2008-08-18 20:43 --------- d-----w C:\Programme\Gemeinsame Dateien\InterVideo 2008-08-18 20:41 --------- d-----w C:\Programme\Free FLV Converter 2008-08-18 20:34 --------- d-----w C:\Programme\Windows Media Bonus Pack for Windows XP 2008-08-18 20:32 --------- d-----w C:\Programme\EmpirePokerMaster 2008-08-12 17:34 --------- d-----w C:\Programme\eMCrypt v4.1 2008-07-15 21:10 --------- d-----w C:\Programme\DivX 2008-07-07 13:22 --------- d-----w C:\Programme\PartyGaming 2008-06-27 08:36 691,545 ----a-w C:\WINDOWS\unins001.exe 2007-02-07 13:33 92,064 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\mqdmmdm.sys 2007-02-07 13:33 9,232 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\mqdmmdfl.sys 2007-02-07 13:33 79,328 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\mqdmserd.sys 2007-02-07 13:33 66,656 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\mqdmbus.sys 2007-02-07 13:33 6,208 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\mqdmcmnt.sys 2007-02-07 13:33 5,936 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\mqdmwhnt.sys 2007-02-07 13:33 4,048 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\mqdmcr.sys 2007-02-07 13:33 25,600 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\usbsermptxp.sys 2007-02-07 13:33 22,768 ----a-w C:\Dokumente und Einstellungen\Blackscorpion\usbsermpt.sys 2006-03-31 16:04 774,144 ----a-w C:\Programme\RngInterstitial.dll 2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe 2003-06-03 15:49 448,256 ----a-w C:\WINDOWS\inf\EL2K_N64.sys 2003-06-03 15:48 147,328 ----a-w C:\WINDOWS\inf\EL2K_XP.sys 2003-06-03 15:47 147,328 ----a-w C:\WINDOWS\inf\EL2K_2K.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360] "SAFE8"="C:\Programme\Steganos Safe 8\SAFE8.exe" [2005-08-02 11:55 2056192] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-01-01 20:57 40960] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:09 1211176] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272] "Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-08-13 18:06 3660848] "Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" [2004-07-06 11:26 2502656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 16:28 790528] "LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-02-25 16:15 221184] "LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-02-25 17:15 454656] "LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-02-25 17:06 212992] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 14:47 7311360] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-28 23:53 266497] "SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2006-01-01 20:57 40960] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016] "wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 14:45 1347584] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-11 14:47 86016] "spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2008-02-21 15:37 115344] "Dit"="Dit.exe" [2004-01-29 09:31 86016 C:\WINDOWS\Dit.exe] "nwiz"="nwiz.exe" [2005-11-11 14:47 1519616 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "SAFE8"="C:\Programme\Steganos Safe 8\SAFE8.exe" [2005-08-02 11:55 2056192] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=76.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.enc"= ITIG726.acm "VIDC.DVSD"= pdvcodec.dll "vidc.I263"= i263_32.drv "VIDC.VX1K"= VX1000S.DLL "msacm.g723"= g723.acm "msacm.imc"= imc32.acm "aux1"= 7165321471.CPX [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\eMCrypt v4.1\\eMCrypt.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\Skype\\Phone\\Skype.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "4662:TCP"= 4662:TCP:emule 2 "4672:UDP"= 4672:UDP:emule 4 "4665:UDP"= 4665:UDP:emule 3 "4661:TCP"= 4661:TCP:emule 1 "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-24 11:18] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-28 23:53] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2005-09-12 16:13] R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 11:06] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2005-09-30 12:13] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2005-09-30 12:13] R2 SLEE_12_DRIVER;Steganos Live Encryption Engine 12 [Driver];C:\WINDOWS\system32\drivers\SLEE12.sys [2005-08-01 12:06] R2 SLEE_12_SERVICE;Steganos Live Encryption Engine 12 [Service];C:\WINDOWS\system32\SLEE12.exe [2005-08-01 12:06] R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2007-03-05 00:16] R3 SpyFighter;SpyFighter Guard Device;C:\Programme\SPYWAREfighter\spyfighter.sys [2008-02-21 15:38] R3 SPYWAREfighterRP;SPYWAREfighterRP;C:\Programme\SPYWAREfighter\spfprc.exe [2008-02-21 15:37] R3 Tetris;Tetris driver;C:\WINDOWS\system32\Drivers\Tetris.sys [2005-09-30 13:12] S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-08-25 23:59] S3 pfsvgae;pfsvgae;C:\DOKUME~1\BLACKS~1\LOKALE~1\Temp\pfsvgae.sys [] S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31] S4 Apppotnim;Apppotnim;C:\WINDOWS\system32\drivers\rndismpx.sys [2008-04-14 00:26] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - BHO-{1A75F101-126E-46A3-97B1-91A96D161C15} - (no file) BHO-{3DAD782B-D538-4501-BCD6-BED957BF5880} - (no file) BHO-{74800AC7-32DD-4578-BFCA-4D1ACA0F2AB0} - (no file) BHO-{C5AF49A2-94F3-42BD-F434-3604812C897D} - (no file) BHO-{FD4BC596-FC84-4161-AA97-3D917783FEA6} - (no file) HKCU-Run-PowerBar - (no file) ShellExecuteHooks-{1A75F101-126E-46A3-97B1-91A96D161C15} - (no file) Notify-tuvsrpqq - tuvsrpqq.dll . ------- Zus„tzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.de/ R0 -: HKLM-Main,Default_Search_URL = hxxp://www.arcor.de R0 -: HKLM-Main,Start Page = hxxp://www.arcor.de R0 -: HKLM-Main,Window Title = Arcor AG & Co. KG O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 -: {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 -: {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programme\EmpirePokerMaster\EmpirePoker\RunEPoker.exe O9 -: {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe O9 -: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 -: {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe O9 -: {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe O9 -: {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O17 -: HKLM\CCS\Interface\{3A904053-9AB6-4A37-A564-5A59FB368201}: NameServer = 208.67.220.220,208.67.222.222 O17 -: HKLM\CCS\Interface\{964D4A1C-C446-4DE6-9FFA-7F9E798BEF50}: NameServer = 192.168.1.1 O17 -: HKLM\CCS\Interface\{97B4746F-3563-47D4-8BEC-13C161DF5234}: NameServer = 208.67.220.220,208.67.222.222 . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-25 23:59:56 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... C:\WINDOWS\system32\7165321471.CPX 110080 bytes executable C:\WINDOWS\system32\71653214721.CPX 404 bytes C:\WINDOWS\system32\71653214751.CPX 9087 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 3 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Secunia\PSI (RC3)\psi.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-26 0:05:20 - PC wurde neu gestartet [Blackscorpion] ComboFix-quarantined-files.txt 2008-08-25 22:05:14 Pre-Run: 6,135,070,720 Bytes frei Post-Run: 6,060,736,512 Bytes frei 229 --- E O F --- 2008-01-03 02:38:51 ............ so...mal schauen was die profis jetzt sagen.  |
| Themen zu Hilfe bei TR/Vundo und TR/Crypt.XPACK |
| adobe, antivir, application, avira, browser, cs3, desktop, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, nvidia, object, plug-in, rundll, software, solution, sweetim, system, temp, tr/crypt.xpack, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/vundo.gen, urlsearchhook, windows, windows xp, wlan |
Baum-Darstellung